網路攻防戰之 個資洩漏與端點防護 (精華版)¬¬3季研討會03-呂守箴...1 網路攻防戰之 個資洩漏與端點防護 (精華版) 大綱 y使用者端的個資洩漏

1

網路攻防戰 之個資洩漏與端點防護個資洩漏與端點防護

(精華版)

大綱

使用者端的個資洩漏◦ 從上網的風險

從電子郵件的風險◦ 從電子郵件的風險

伺服器端的個資洩漏◦ 檢視Web Server的安全◦ 檢視Web應用程式、資料庫的安全◦ 檢視搜尋引擎造成的風險

網路架構的端點防護◦ 從弱點修補的觀點◦ 從防毒防駭的觀點◦ 從閘道端設備的觀點◦ 從網路佈署的的觀點

2

使用者端的個資洩漏使用者端的個資洩漏

從上網的風險從電 郵件的 險從電子郵件的風險

從上網的風險

網路相簿網路購物網路購物

3

網路相簿

現在年輕人喜歡將照片放在網路相簿可是？可是？將相片放在網路上就安全嗎？

基本防護設定：我有設定「禁止按右鍵」另存照片。我有設定「相簿鎖密碼」過濾訪客。我有設定 相簿鎖密碼」過濾訪客

這樣應該就安全了吧！

網路相簿

雖然「禁止按右鍵」無法另存照片，但是可以利用「抓檔軟體」，遠端下載。抓檔軟體」 遠端下載

4

網路相簿

那使用「相簿鎖密碼」過濾來訪客，沒有密碼就無法看圖呢？法看圖呢？

重點是？你確定你的密碼設定的很完善？你確定你的密碼設定的很完善？不會被有心人士隨便猜一猜就猜到？

Recuva 檔案救援軟體

官方下載：http://www.recuva.com

功能：每個檔案儲存在硬碟時都會占據一個位置，當你在硬碟刪除檔案後，其實檔案的痕跡還是會遺留在原本的磁區上，只要這個磁區位置還沒有被新的檔案占去，那麼妳就有機會救回誤刪的檔案。而「Recuva」正是利用了這個原理 幫你去掃描 搶救已經刪除的檔案（已經從這個原理，幫你去掃描、搶救已經刪除的檔案（已經從資源回收桶中移除、或直接刪除的檔案），而從其原理來看，一個很重要的前提是，Recuva 通常只能救回最近刪除的檔案，當你發現不小心誤刪了某個檔案時，不要去進行其它操作，立刻搶救檔案比較有效。

5

網路相簿的注意事項

不要上傳太私密的照片。相簿要記得鎖密碼。(英文大小寫、數字、特殊符號)( )不要在網路相簿網站留下太多個人資料。想要上傳照片就要知道會有被他人下載及流傳的風險。

網路相簿也不是無限空間，免費服務能放的照片有限，通常會要求付費才會有更大空間及其它服務。限，通常會要求付費才會有更大空間及其它服務。

就算照片放在硬碟內也是一樣，當電腦維修時，同時就是資料外洩的最好時機。

6

網路購物

網路購物有二大風險：購物網站本身：購物網站本身：◦ 購物網站管理不當(產生漏洞、植入木馬)◦ 購物程式設計不當(產生被人入侵的管道)◦ 購物的流程管理不當(經手訂單的員工、廠商疏失)

消費者本身：◦ 電腦本身遭受感染木馬被竊取◦ 每個網站均使用同一組帳號及密碼而洩漏◦ 誤入假的購物網站遭騙◦ 於網拍貪小便宜匯款卻收不到商品

網路購物的注意事項

購物網站端：做好網站及程式設計的安全控管。做好網站及程式設計的安全控管落實客戶資料的保護。

使用者端：定期更改密碼。多留意購物網站的公告及新聞。多留意購物網站的公告及新聞做任何金融交易前，請先確認所使用的電腦當時環境是[ 乾淨且無毒 ]的。確認該[ 購物網站 ]網站是正確的。定期更新防毒軟體的病毒碼並搭配線上掃毒。

7

從電子郵件的風險

垃圾郵件、匿名郵件及偽造郵件攻擊郵件附件檔郵件附件檔可疑檔案上傳分析

垃圾郵件、匿名郵件及偽造郵件攻擊

利用匿名郵件 (例如：要求回信)利用好康郵件 (例如：程式下載、中獎)利用好康郵件 (例如：程式下載 中獎)利用連鎖信 (例如：佛像郵件)利用尋人郵件 (例如：尋找失蹤兒)利用愛心郵件 (例如：骨髓配對、勵志小故事)利用銀行郵件利用廣告郵件 (例如：折價卷)利用廣告郵件 (例如：折價卷)利用情色郵件

8

郵件附件檔

將附件檔「另存新檔」後掃描病毒，不可以直接點選2下打開。選2下打開

修補「Microsoft Office」、 「Adobe Reader」等的相關讀取程式的弱點。

如果不確定所收到的檔案是否有問題，使用「可疑如果不確定所收到的檔案是否有問題 使用 可疑檔案上傳分析」確認。

可疑檔案上傳分析：

利用各家防毒軟毒軟體的掃描引擎，同時對單一一個檔案，作是否為病毒、木馬檔案的分析可協助檢測確認檔案本身是否異常案本身是否異常。

VirusTotal：免費線上病毒和惡意軟體掃瞄http://www.virustotal.com/zh-tw/

VirSCAN.org：線上防毒引擎掃描網站 v1.00 目前支款防 擎援 36 款防毒引擎

http://www.virscan.org/

Online malware scanhttp://virusscan.jotti.org/

9

伺服器端的個資洩漏伺服器端的個資洩漏

檢視Web Server的安全檢視 應用程式 資料庫的安全檢視Web應用程式、資料庫的安全

檢視搜尋引擎造成的風險

檢視Web Server的安全

IIS/Apache都會有安全弱點，必須時常留意一些原廠或著名單位所公告之網站修正。◦ http://www microsoft com/taiwan/technet/security/de◦ http://www.microsoft.com/taiwan/technet/security/de

fault.mspx◦ http://httpd.apache.org/security_report.html◦ http://www.cert.org.tw/document/advisory/◦ http://www.securityfocus.com/vulnerabilities

不當的管理與設定◦ 不安全的預設網站路徑與LOG檔案配置不安全的預設網站路徑與LOG檔案配置◦ 沒有更改預設的管理者密碼◦ 不當設定讓使用者能存取任何網頁目錄◦ 過於寬鬆的網頁權限設定◦ 沒有刪除不必要之網站或虛擬目錄◦ 所有首頁或各主網頁名稱都是叫default or index?

10

解決方法

定時注意著名網站的漏洞公告定時且定期修正Web Server的漏洞定時 定期修 的漏洞確認IIS / Apache 的安全設定刪除不必要的「虛擬目錄」、「CGI程式」可行的話首頁名稱不要叫做「default or index」設定網頁所在的檔案資料夾NTFS權限設定瀏覽的權限更改或自訂顯示錯誤的代碼網頁更改Web預設LOG檔案的存放位置

Microsoft Urlscan Filter v3.0 英文版

免費的IIS外掛套件。URLScan 是 ISAPI 篩選器，可讓網站系統管理員限制由Web伺服器處理的可讓網站系統管理員限制由Web伺服器處理的HTTP 要求類型。藉由封鎖特定 HTTP 要求，URLScan 篩選器可預防具有潛在危害的要求、語法或指命傳到伺服器，進而造成Web伺服器的損害。

UrlScan 在3.0 的版本中，特別加強了對常見的SQL Injection 的入侵指令進行攔截與防護。

http://anti-hacker.blogspot.com/2008/09/microsoft-urlscan-filter-v30.html

11

檢視Web應用程式與資料庫的安全

資料庫隱碼(SQL Injection)攻擊跨網站指令碼(XSS)攻擊跨網站指令碼(XSS)攻擊網頁木馬

12

網頁木馬

網頁木馬就是將木馬和網頁結合在一起，打開網頁的同時也會執行木馬。

最初的網頁木馬原理是利用IE瀏覽器的ActiveX控制項，執行網頁木馬後會彈出一個控制項下載提示，只有點擊確認後才會運行其中的木馬。這種網頁木馬在當時網路安全意識普遍不高的情況下還是有一點使用價值的，但是其缺點是顯而易見的，就是會出現ActiveX控制項下載提示。

當然現在很少會有人去點選那莫名其妙的ActiveX控制項下載確認視窗。

在這種情況下，新的網頁木馬誕生了。這類網頁木馬通常利用了IE瀏覽器或系統的漏洞，在運作執行的時候沒有絲毫提示，因此隱藏性極高。

13

網站、網頁掛馬

掛馬：掛馬這個行為就是駭客採用「系統漏洞、網頁漏洞、SQL Injection、XSS」等技巧入侵了一些網站後，將自己編寫的網頁木馬語法嵌入被駭網站的主頁中，利用被駭網站的流量將自己的網頁木馬傳播開去，以達到自己植入真正木馬的目的。

註：也可能先入侵後再上傳具有FSO功能的網頁木註：也可能先入侵後再上傳具有FSO功能的網頁木馬稱為WebShell，再利用該木馬將其它正常網頁「掛馬」。好處是只要原來的WebShell不被殺掉，就可一直重複掛馬。

網頁木馬流程駭客 知名的官

方網站

[掛馬] 將首頁或其他網頁植入<iFrme>隱藏框架引導到跳版網

[上傳] 具FSO功能的網頁木馬

不知情的一般使 者

首頁

跳版網站

藏框架引導到跳版網站

般使用者

漏洞型網馬原生型木馬

14

2008/9月新增 惡意鏈結的跳板網站www.9u9u9.cn363xx.comdnd.3322.orgwww.111nv.cn3real kav2008 com

www.37021.comwww.cnqb.netwww.qq3344.comwww.qq3344.netyoulove 3322 netreal.kav2008.com

gf.ccves.cngood00.netadasas.cn121565.netwww.china-meet.cnyeapple.com xyxy68.8u8.netwww.youmiss.comwww.cctv8.netwww.kuliao.comwww.yyqy.comwinzheng.126.comwww.sunvod.com

youlove.3322.netwww.58589.comtty.yyun.netwww.ftlink.netwww.pixpox.comwww.k163.comwww.pk.comwww.xxx.com204.177.92.68www.fia.netwww.ehomeday.comwww.jinpin.netwww.1777.com9i5t.cn

www.t168.comwww.boliwo.comwww.coolcdrom.comwww.zhengdian.comgirlchinese.comwww.yibinren.comwww.mtv51.comwww.163[1].com

www.fengnima.cn www.taobao.compage.taobao.comsearch.taobao.comtaobao.comwww.unionsky.cn

資料來源：http://tw.myblog.yahoo.com/edward_205_6/article?mid=1467&prev=46&next=1466

相關參考資料

CGI漏洞攻擊整理http://anti-hacker.blogspot.com/2007/07/cgi.html

扔掉工具使用ASP手工注入http://anti-hacker.blogspot.com/2007/07/asp.html

扔掉工具使用ASP手工注入！補完篇之一http://anti-hacker.blogspot.com/2007/08/asp.html

ASP木馬Webshell安全解決方案http://anti-hacker.blogspot.com/2008/02/aspwebshell.html

15

相關參考資料

SQL Injection規避入侵檢測技術http://anti-hacker.blogspot.com/2007/08/sql-i j ti ht linjection.html

XSS測試語法大全http://anti-hacker.blogspot.com/2007/07/xss.html

爆庫法取得資料庫http://anti hacker blogspot com/2007/10/bloghttp://anti-hacker.blogspot.com/2007/10/blog-post.html

老掉牙的SQL Injection卻造成你的網站在裸奔http://anti-hacker.blogspot.com/2008/06/sql-injection.html

檢視搜尋引擎造成的風險

網路搜尋的惡意手法有二：

利用「特殊語法」取得隱藏資訊(Google Hacking)◦ 成功後，利用該資訊取得個人資料，或不公開的文件。

利用「關鍵字廣告」連結惡意網頁◦ 成功後，利用該惡意網頁植入木馬後竊取個人資料。

16

進階語法與關鍵字"access denied for user" "using password" "Index of /backup" allinurl: admin mdbinurl:passlist.txtinurl:passlist.txt" -FrontPage-" ext:pwd inurl:(service | authors | administrators | users) "ASP.NET_SessionId" "data source=" "AutoCreate=TRUE password=*" "Index of /" +password.txt "Index of /password" "mysql dump" filetype:sql"pcANYWHERE EXPRESS Java Client" "VNC Desktop" inurl:5800 "phpMyAdmin MySQL-Dump" "INSERT INTO" -"the“"phpM Admin M SQL D mp" filet pe t t"phpMyAdmin MySQL-Dump" filetype:txt"phpMyAdmin" "running on" inurl:"main.php“"robots.txt" "Disallow:" filetype:txtintitle:"Remote Desktop Web Connection" inurl:tswebintitle:"Welcome to Windows 2000 Internet Services" inurl:"printer/main.html" intext:"settings“intitle:index.of administrators.pwd

搜尋存在漏洞的網站

搜尋URL網址中含有「asp?id=」或「php?id=」語法為「inurl:asp?id=」或「inurl:php?id=」。

原因為類似這樣的URL傳值是最容易有 SQL Injection的網頁。

但並不是凡是這樣撰寫網頁應用程式均有SQLInjection的漏洞，只是以攻擊者的角度來想，搭配搜尋引擎的尋找常見的SQL I j i URL 語法可以降尋引擎的尋找常見的SQL Injection URL 語法可以降低在茫茫大海撈針中一個一個猜測網站的時間，再搭配一些Google Hacks的組合搜尋字串，很快就可找到入侵的目標網站。

17

如何防止 Google Hacking

在網站伺服器上的根目錄，增加一個 robots.txt 檔案。檔案

然後在這個檔案中加入「User-agent: allow: Disallow:」這參數進行設定，一般來說都可以阻止有道德的搜尋引擎程式讀取並儲存您的網頁。

例如：User-agent:GooglebotDisallow:/*.*

其它語法與關鍵字

Johnny ihackstuffhttp://johnny.ihackstuff.com

Google Hacking Database (GHDB)http://johnny.ihackstuff.com/ghdb.php

找尋 Vulnerable Servers 語法http://johnny.ihackstuff.com/ghdb.php?function=summary&cat=9su a y&cat 9

找尋 Web Server Detection 語法http://johnny.ihackstuff.com/ghdb.php?function=summary&cat=7

18

網路架構的端點防護網路架構的端點防護

從弱點修補的觀點從防毒防駭的觀點從防毒防駭的觀點

從閘道端設備的觀點從網路佈署的的觀點

依資料狀態採取不同保護措施

從防範資料外洩的角度來看，依狀態可分為：◦ 使用中資料：放在使用者端的資料。使用中資料：放在使用者端的資料◦ 傳送中資料：經由網路以各種通訊協定進行傳輸的資料。◦ 閒置中資料：放在File Server 或 儲存裝置裡的資料。

主要的防範方式：◦ 控管資料或使用者權限◦ 資料傳輸加密

19

網路存取控制(NAC) : 4項重要功能

使用網路進行政策執行，以確保連接裝置符合規範。

掃描及評估

代理程式掃描所需的系統修補、防毒版本等

網路掃描蠕蟲病毒及服務弱點

認証及授權

強制執行認証政策及授權

支援多種使用者角色

更新及治療

提供以網路為基礎的弱點修補工具

IT Help-desk整合

隔離及強制

將不符規範設備由網路隔離

個別使用者 MAC及 IP-based隔離

網路存取控制(NAC) : 4佈署模式

圖文資料引用來源：iThome企業資安專刊：端點安全防護

20

網路存取控制(NAC) : 4佈署模式

圖文資料引用來源：iThome企業資安專刊：端點安全防護

網路存取控制(NAC) : 4佈署模式

圖文資料引用來源：iThome企業資安專刊：端點安全防護

21

網路存取控制(NAC) : 4佈署模式

圖文資料引用來源：iThome企業資安專刊：端點安全防護

NAC採購注意事項

價格：Server端價格 與 Client授權數

代理程式(agent)佈署方式：有線、無線、DHCP 還是需要特殊規格。

安全檢查項目：作業系統版本、修補程式、病毒碼版本、登錄機碼、檢查特定檔案格式等

更新方式：線上更新、手動更新。

中央控管機制及報表內容。

管理介面及報表是中文 or 英文。

22

10個你必須問的NAC問題：

1. NAC方案是否支援現有的防毒軟體？

6. 要強制遵循的資安政策有哪些？

2. NAC方案是否僅支援特定廠商的設備與軟體？

3. NAC方案與現有應用的相容度？

4. NAC方案與現有身分認證機制的支援度？

7. 現有交換器是否支援IEEE802.1x標準？

8. 哪些終端電腦該納入NAC機制中？

9. 路由路徑是否會造成NAC機制的漏洞？證機制的支援度？

5. NAC方案支援何種作業系統與版本？

NAC機制的漏洞？10. 網路架構變更對企業營

運影響有多大？

DLP防範注意事項(管理面)

技術面無法防止內部人員經合法管道故意竊取資料，而Log與稽核程序已經是屬於「事後追蹤」於事無而Log與稽核程序已經是屬於 事後追蹤」於事無補。

落實防範資料外洩的關鍵不在技術，而是在「管理」。

妥善規劃並落實內部風險控管措施，包括分權控管、異地備援、緊急應變措施等，其實比資安技術重要的多。

23

從弱點修補的觀點

Client端的弱點修補：◦ Microsoft 作業系統的漏洞修補：Windows Update、

等WSUS、SMS等◦ Microsoft 應用程式的漏洞修補：Microsoft Update、Offcie Update等◦ 常用應用程式的漏洞修補：Acrobat、FLASH、Media Player等影音播放程式、圖片瀏覽軟體等

Server端的弱點修補：Server端的弱點修補：◦ Web Server上面開發的應用程式更新◦ PHP、Apache版本更新◦ Microsoft .NET Framework版本更新◦ DNS、Mail server、FTP版本更新

從弱點修補的迷思

所有Client端弱點及漏洞都需要修正？所有Server端弱點及漏洞都需要修正？所有Server端弱點及漏洞都需要修正？Microsoft的產品可以自動Update，那非Microsoft的產品呢？可以遠端派送更新，那無法派送的軟體呢？手動更新？沒有更新功能選項的軟體，要怎樣更新？沒有更新功能選項的軟體 要怎樣更新？網路沒有對外連通的環境是否需要進行漏洞更新？管不到的移動式裝置呢？需不需要修補？Web Server上的應用程式需不需要更新或改版？

24

從防毒防駭的觀點

Client端的防毒防駭：◦ 防毒軟體的病毒碼更新頻率、多久定期掃描？

防毒軟體的攔截率 查殺率？◦ 防毒軟體的攔截率、查殺率？

Server端的防毒防駭：◦ 中央控管的防毒軟體，能看出使用者端什麼類型的檔案貴公司

最容易感染？◦ 中央控管的防毒軟體，能說明來自怎樣的管道是貴公司中毒的

主要來源？主要來源

閘道端的防毒防駭：◦ 閘道端設備的防毒模組到底阻擋了什麼東西？◦ 防毒牆能顯示貴公司網路裡總是在流傳什麼病毒？◦ 防毒牆能不能顯示貴公司病毒來源的IP、國家及有效封鎖？

從防毒防駭的迷思

因漏洞感染的病毒，是要算漏洞的問題還是防毒的問題？

上網、收發信過程中被植入木馬，是要算上網、收發信行為的問題還是防毒的問題？

防毒軟體一定要殺除所有的病毒及木馬？

請問貴單位最常感染的病毒或木馬是哪幾隻？

防毒是要防止「感染」還是防止「擴散」或者是防止「竊取」？

25

從閘到端設備、網路佈署的觀點

設備：路由器、防火牆、IDS/IDP、防毒牆、權限控管、VPN、VLAN、資產管理軟體等等控管 VPN VLAN 資產管理軟體等等

這些設備：會不會疊床架屋？會不會反而拖垮整體效能？設備是自己會操作還是都掌握在廠商手上？設備是自己會操作還是都掌握在廠商手上？LOG、報表會不會判讀還是說根本就當不存在？定時、定期、定檢？還是說他根本不會壞？

從閘到端設備、網路佈署的迷思

資安與效能是反比，越安全就越沒有效能。那貴公司是追求安全還是效能？司是追求安全還是效能？

你確定知道貴公司的「血管」暢通，不會偶而來個「心肌梗塞」，裝這麼多東西到底多有效？

通常我們都希望能在最低影響下透過閘道端的架設通常我們都希望能在最低影響下透過閘道端的架設來控管使用者端，但事後真的是最低影響嗎？

26

伺服器端的解決方案

SUS / WSUS 修補系統漏洞Web、DB的權限控管Web DB的權限控管檢視與設定資料夾的分享與NTFS權限移除不需要及罕用的服務變更系統與Web相關預設值阻擋搜尋引擎的不當搜尋透過AD的群組原則(GPO)做安全控管透過AD的群組原則(GPO)做安全控管gpedit.msc 設定本機安全性原則

使用者帳號的需不需要有安裝程式的權限？

應用程式的解決方案

修正應用程式的撰寫才是治本的方法。短期間無法修正，可以採用「應用程式防火牆」來救急治標

老掉牙的SQL Injection卻造成你的網站在裸奔http://anti-hacker.blogspot.com/2008/06/sql-injection.html

27

個資洩漏與端點防護的重點

使用者端：◦ 在使用網路服務(上網、收發信、P2P、USB)時在使用網路服務(上網 收發信 US )時◦ 重點：弱點修補、防毒、權限控管

伺服器端：◦ 主機、應用程式、資料庫安全設定上◦ 重點：弱點修補、安全的應用程式開發、權限控管

網路架構：◦ 身分驗證、隔離與修補終端、上網行為控管、防毒、NAC

等屬於DLP的範疇。◦ 重點：導入產品來控管 還是 先從改善網路自我體質著手？

結論

使用者端的個資洩漏◦ 從上網的風險

從電子郵件的風險◦ 從電子郵件的風險

伺服器端的個資洩漏◦ 檢視Web Server的安全◦ 檢視Web應用程式、資料庫的安全◦ 檢視搜尋引擎造成的風險

網路架構的端點防護◦ 從弱點修補的觀點◦ 從防毒防駭的觀點◦ 從閘道端設備的觀點◦ 從網路佈署的的觀點

28

問題 與 討論問題 與 討論

網路攻防戰部落格http://anti-hacker.blogspot.com